Konfigurowanie dzienników

  • 3 min

W usłudze Microsoft Sentinel istnieją trzy podstawowe typy dzienników:

  • Dzienniki analizy
  • Dzienniki podstawowe
  • Archiwizowanie dzienników

Dane w każdej tabeli w obszarze roboczym usługi Log Analytics są przechowywane przez określony okres czasu, po którym zostaną usunięte lub zarchiwizowane z obniżoną opłatą za przechowywanie. Ustaw czas przechowywania, aby zrównoważyć wymagania dotyczące udostępniania danych dzięki zmniejszeniu kosztów przechowywania danych.

Aby uzyskać dostęp do zarchiwizowanych danych, musisz najpierw pobrać z nich dane w tabeli Dzienniki analizy przy użyciu jednej z następujących metod:

  • Zadania wyszukiwania
  • Przywracanie

Diagram of different Workspace Log Types.

Dzienniki analityczne

Domyślnie wszystkie tabele w obszarze roboczym są typu Dzienniki analizy, które są dostępne dla wszystkich funkcji obszaru roboczego usługi Log Analytics i innych usług korzystających z tego obszaru roboczego.

Dzienniki podstawowe

Niektóre tabele można skonfigurować jako dzienniki podstawowe, aby zmniejszyć koszty przechowywania pełnych dzienników o dużej ilości używanych do debugowania, rozwiązywania problemów i inspekcji, ale nie na potrzeby analizy i alertów. Tabele skonfigurowane dla dzienników podstawowych mają niższy koszt pozyskiwania w zamian za ograniczone funkcje. Dzienniki podstawowe są przechowywane tylko przez 8 dni.

Limity języka KQL

Zapytania dotyczące dzienników podstawowych są zoptymalizowane pod kątem prostego pobierania danych przy użyciu podzbioru języka KQL, w tym następujących operatorów:

  • where
  • Rozszerzanie
  • projekt
  • odchodzi od projektu
  • utrzymanie projektu
  • zmiana nazwy projektu
  • zmiana kolejności projektu
  • analizowanie
  • parse-where

Następujące KQL nie jest obsługiwane:

  • join
  • unia
  • agregacje (podsumowanie)

Tabela obsługuje dzienniki podstawowe

Wszystkie tabele w usłudze Log Analytics to domyślnie tabele usługi Analytics. Możesz skonfigurować określone tabele tak, aby korzystały z dzienników podstawowych. Nie można skonfigurować tabeli dla dzienników podstawowych, jeśli usługa Azure Monitor korzysta z tej tabeli dla określonych funkcji.

Obecnie dla dzienników podstawowych można skonfigurować następujące tabele:

  • Wszystkie tabele utworzone przy użyciu interfejsu API dzienników niestandardowych opartych na regułach zbierania danych (DCR) .
  • ContainerLogV2, którego używa Szczegółowe informacje Container, i które zawierają pełne rekordy dziennika oparte na tekście.
  • AppTraces, który zawiera rekordy dziennika freeform dla śladów aplikacji w usłudze Application Szczegółowe informacje.

Uwaga

Dzienniki podstawowe są obecnie dostępne w wersji zapoznawczej. Dokumentacja obsługiwanych/kwalifikujących się tabel zostanie zaktualizowana o bieżące informacje, gdy funkcja jest ogólnie dostępna.

Konfigurowanie typu dziennika

Aby dostosować typ dziennika dla kwalifikującej się tabeli, wybierz ustawienia obszaru roboczego w obszarze Ustawienia usługi Microsoft Sentinel.
Następny ekran znajduje się w portalu usługi Log Analytics.

  1. Wybierz kartę "Tabele".
  2. Wybierz tabelę, a następnie ... na końcu wiersza.
  3. Wybierz pozycję Zarządzaj tabelą
  4. Zmień plan tabeli.
  5. Wybierz pozycję Zapisz

Archiwizowanie dzienników

Archiwizowanie umożliwia utrzymywanie starszych, mniej używanych danych w obszarze roboczym przy obniżonym koszcie. Każdy obszar roboczy ma domyślne zasady przechowywania stosowane do wszystkich tabel. Dla poszczególnych tabel można ustawić inne zasady przechowywania.

Diagram of the Retention archive process.

W okresie przechowywania interakcyjnego dane są dostępne do monitorowania, rozwiązywania problemów i analizy. Jeśli nie używasz już dzienników, ale nadal musisz zachować dane pod kątem zgodności lub okazjonalnego badania, zarchiwizuj dzienniki, aby zaoszczędzić koszty. Dostęp do zarchiwizowanych danych można uzyskać, uruchamiając zadanie wyszukiwania lub przywracając zarchiwizowane dzienniki.

Konfigurowanie przechowywania tabel

Aby dostosować dni przechowywania tabeli, wybierz ustawienia obszaru roboczego w obszarze Ustawienia usługi Microsoft Sentinel.
Następny ekran znajduje się w portalu usługi Log Analytics.

  1. Wybierz kartę "Tabele".
  2. Wybierz tabelę, a następnie ... na końcu wiersza.
  3. Wybierz pozycję Zarządzaj tabelą
  4. Zmień łączny okres przechowywania.
  5. Wybierz pozycję Zapisz